云服務(wù)器被入侵怎么辦

云服務(wù)器被入侵怎么辦？惡意的服務(wù)器入侵行為，會導(dǎo)致服務(wù)器的敏感信息泄露或系統(tǒng)被破壞，入侵者可以為所欲為，肆意竊取其中的數(shù)據(jù)信息并毀壞等。

1、切斷網(wǎng)絡(luò)的方式

如果你的技術(shù)有限，首先切斷網(wǎng)絡(luò)或者直接關(guān)機。你可以拔掉網(wǎng)線，或者運行命令：

systemctl stop network.service

以關(guān)閉服務(wù)器的網(wǎng)絡(luò)功能?；蛘咴诜?wù)器上運行以下兩條命令之一來關(guān)機：

shutdown -h nowsystemctl poweroff

2、備份重要的數(shù)據(jù)

在開始分析之前，備份云主機上重要的數(shù)據(jù)，同時也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中，一定要徹底刪除，然后將用戶數(shù)據(jù)備份到一個安全的地方。

3、修改root密碼

在很多情況下，攻擊者大概率已經(jīng)拿到你的root權(quán)限。接著進行痕跡數(shù)據(jù)采集備份，痕跡數(shù)據(jù)是分析安全事件的重要依據(jù)，包括登錄情況、進程信息、網(wǎng)絡(luò)信息、系統(tǒng)日志等等。

4、查看當(dāng)前登錄在服務(wù)器上的用戶

w

查看近期登陸過服務(wù)器的用戶

last | more

5、通過上述命令，假設(shè)發(fā)現(xiàn)可疑用戶someone，鎖定可疑用戶someone

passwd -l someone

6、查看攻擊者有沒有在自己的服務(wù)器上開啟特殊的服務(wù)進程，比如后門之類的

netstat -nl

類似22等是我們比較熟悉的端口，一些比較大的端口號，如52590等，就可以作為懷疑對象，用lsof -i命令查看詳細(xì)信息：

lsof -i :52590

之后還可以檢查有無異常進程并終止，檢查系統(tǒng)日志從而進行日志等信息備份。

教程參考來源：頭條號老王談運維

騰佑科技是知名云服務(wù)商，其服務(wù)器安全可靠，免費開啟云網(wǎng)盾，能有效攔截98%以上的黑客掃描和入侵行為，云服務(wù)器產(chǎn)品鏈接